Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
E-mail Headers
03-01-2013, 13:13 door 12348766754, 5 reacties
Hallo,
Het topic betreft: 'Hoe kan je het IP-adress van de afzender achterhalen?' zou wel vaker langs zijn komen.
Echter is er (volgens mij) een update geweest bij Hotmail.
Omdat de X-Originating-IP niet meer weer wordt gegeven.
Nu laten ze alleen zien vanaf welke server het bericht wordt verstuurd.
Is er nog een mogelijkheid om het IP door de header (dmv Hotmail) te achterhalen?
Alvast bedankt!
Het topic betreft: 'Hoe kan je het IP-adress van de afzender achterhalen?' zou wel vaker langs zijn komen.
Echter is er (volgens mij) een update geweest bij Hotmail.
Omdat de X-Originating-IP niet meer weer wordt gegeven.
Nu laten ze alleen zien vanaf welke server het bericht wordt verstuurd.
Is er nog een mogelijkheid om het IP door de header (dmv Hotmail) te achterhalen?
Alvast bedankt!
Reacties (5)
03-01-2013, 14:59 door
Erik van Straten
Door 12348766754: Is er nog een mogelijkheid om het IP door de header (dmv Hotmail) te achterhalen?
Kennelijk is de "X-Originating-IP" header sinds kort vervangen door een "X-EIP:" headerregel. Vermoedelijk kan Microsoft daarmee aantonen dat het om een gegeven IP-adres gaat (verkregen uit bijv. een niet publiek toegankelijk logbestand) maar kun jij hier niets mee.Bijv. in http://dir.groups.yahoo.com/group/IgboWorldForum/message/157792?source=1&var=1 staat
X-EIP: [PbPNdeXSsR3exJRQxSWUvzvV/Yb6LaDE]
Ik heb 3 van dat soort strings (zonder de bakhaken) door een base64 decoder gehaald en dit levert in alle gevallen (zonder foutmeldingen) een 24 bytes lang binair verhaal op. Voor bovenstaande string is dat: 000000 3D B3 CD 75 E5 D2 B1 1D DE C4 94 50 C5 25 94 BF
000010 3B D5 FD 86 FA 2D A0 C4
Ik heb mezelf een mail gestuurd vanaf een hotmail account, als ik mijn afzender IP-adres in hex omzet vind ik daar geen enkele byte van terug.000010 3B D5 FD 86 FA 2D A0 C4
Ik vermoed dat "EIP" (uit X-EIP) staat voor "Encoded IP" en dat deze uit een 192 bit lange hash bestaat, of uit een salt + hash; het zou dan om 64 + 128 (bijv. MD5) of om 32 + 160 (SHA1) kunnen gaan. Wellicht is de salt terug te vinden in een andere headerrregel, bijv. de datum/tijd van ontvangst door de 1e server.
Hoe dan ook, hieruit is niet eenvoudig het afzender-IP adres terug te herleiden. De reden om dit toe te voegen is dat Microsoft er hoogstwaarschijnlijk wel mee kan aantonen dat de mail vanaf een gegeven IP-adres verzonden is (zo zou ik het in elk geval gemaakt hebben). Een soort van non-repudiaton dus (zie https://en.wikipedia.org/wiki/Non-repudiation).
03-01-2013, 15:47 door
RoeBus
Hoi "hooggetal",
Wellicht kunnen de boy's van mxtoolbox.com je helpen..http://mxtoolbox.com/EmailHeaders.aspx
Je kunt daar eenvoudig zien langs welke MTA's (mail servers) het mailtje is gekomen. Ook als je vertraging hebt, is het een handige tool.
Groetjes,
RB
Wellicht kunnen de boy's van mxtoolbox.com je helpen..http://mxtoolbox.com/EmailHeaders.aspx
Je kunt daar eenvoudig zien langs welke MTA's (mail servers) het mailtje is gekomen. Ook als je vertraging hebt, is het een handige tool.
Groetjes,
RB
03-01-2013, 16:28 door
12348766754
Bedankt voor jullie reacties,
Het is dus niet mogelijk om iemands thuis (of gebruikte) IP te achterhalen dmv de header?
(Als je Hotmail gebruikt, ik weet niet hoe het zit met andere e-mailprogramma's/websites.)
-Edit
Zonder de 192 bit lange hash, wat voor mij nogal lastig gaat worden.
--
De source geeft het IP van de server weer. In dit geval de Microsoft server.
Jammer genoeg niet het thuis IP wat vroeger wel (niet encoded) werd toegevoegd.
Het is dus niet mogelijk om iemands thuis (of gebruikte) IP te achterhalen dmv de header?
(Als je Hotmail gebruikt, ik weet niet hoe het zit met andere e-mailprogramma's/websites.)
-Edit
Zonder de 192 bit lange hash, wat voor mij nogal lastig gaat worden.
--
Door Anoniem: Volgens mij staat er nu 'Source:' of iets in die trant.
De source geeft het IP van de server weer. In dit geval de Microsoft server.
Jammer genoeg niet het thuis IP wat vroeger wel (niet encoded) werd toegevoegd.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
